信息安全等級測評師培訓網絡安全測評公安部信息安全等級保護評估中心于東升1內容目錄.刖日.檢查范圍.檢查內容.現場測評步驟2標準概述MQ7年43號文《信息安全等級保護管理辦法》按照以下相關標準開展等級保護工作：(GB17859-1999)((GB17859-1999)(GB/T22240-2008)(GB/T22239-2008)(報批稿)(報批稿)《信息系統安全等級保護定級指南》《信息系統安全等級保護基本要求》《信息系統安全等級保護測評要求》《信息系統安全等級保護實施指南》3標準概述測評過程中重點依據《信息系統安全等級保護基本要求》、《信息系統安全等級保護測評要求》來進行。4標準概述基本要求中網絡安全的控制點與要求項各級分布：級別控制點要求項第一級39第二級6 18第三級733第四級7325標準概述等級保護基本要求三級網絡安全方面涵蓋哪些內容？共包含7個控制點33個要求項，涉及到網絡安全中的結構安全、、安全審計、、邊界完整性檢查、入侵防范、惡意代碼防范、訪問控制、設備防護等方面。6內容目錄.刖日.檢查范圍.檢查內容.現場測評步驟7檢查范圍理解標準：理解標準中涉及網絡部分的每項基本要求。明確目的：檢查的最終目的是判斷該信息系統的網網絡安全綜合防護能力， 如抗攻擊能力、 、防病毒能力等等，不是單一的設備檢查。分階段進行：共劃分為4個階段，測評準備、方案編制、現場測評、分析及報告編制。8檢查范圍確定檢查范圍，細化檢查項。通過前期調研獲取被測系統的網絡結構拓撲、外連線路、、網絡設備、安全設備等信息。根據調研結果，進行初步分析判斷。明確邊界設備、核心設備及其他重要設備，確定檢查范圍。9檢查范圍注意事項考慮設備的重要程度可以采用抽取的方式。不能出現遺漏，避免出現脆弱點。最終需要在測評方案中與用戶明確檢查范圍一網絡設備、安全設備列表。10SiSiSiSi11內容目錄.刖日.檢查范圍.檢查內容.現場測評步驟12檢查內容檢查內容以等級保護基本要求三級為例，按照基本要求7個控制點33個要求項進行檢查。一、結構安全（7項）TOC\o"1-5"\h\z二、訪問控制 （8項）三、安全審計（4項）13檢查內容四、邊界完整性檢查 （2項）五、入侵防范（2項）六、惡意代碼防范 （2項）七、網絡設備防護 （8項）14檢查內容一、結構安全 （7項）結構安全是網絡安全測評檢查的重點，網絡結構是否合理直接關系到信息系統的整體安全。條款解讀15結構安全a）應保證主要網絡設備的業務處理能力具備冗余空間，滿足業務高峰期需要；條款理解為了保證信息系統的高可用性，主要網絡設備的業務處理能力應具備冗余空間。檢查方法訪談網絡管理員，詢問主要網絡設備的性能及業務高峰流量。訪談網絡管理員，詢問采用何種手段對網絡設備進行監控。16結構安全b）應保證網絡各個部分的帶寬滿足業務高峰期需要； （保證接入網絡和核心網絡的帶寬滿足業務高峰期需要）條款理解對網絡各個部分進行分配帶寬，從而保證在業務高峰期業務服務的連續性。檢查方法詢問當前網絡各部分的帶寬是否滿足業務高峰需要。如果無法滿足業務高峰期需要， 則需進行帶寬分配。檢查主要網絡設備是否進行帶寬分配。17結構安全c）應在業務終端與業務服務器之間進行路由控制建立安全的訪問路徑；條款理解靜態路由是指由網絡管理員手工配置的路由信息。動態路由是指路由器能夠自動地建立自己的路由表。路由器之間的路由信息交換是基于路由協議實現的，如 OSPF路由協議是一種典型的鏈路狀態的路由協議。如果使用動態路由協議應配置使用路由協議認證功能， 保證網絡路由安全。18結構安全檢查方法檢查邊界設備和主要網絡設備，查看是否進行了路由控制建立安全的訪問路徑。以CISCOIOS為例，輸入命令：showrunning-config檢查配置文件中應當存在類似如下配置項：iproute93 （靜態）routerospf100 （動態）ipospfmessage-digest-key1md57XXXXXX （認證碼）19結構安全d）應繪制與當前運行情況相符的網絡拓撲結構圖；條款理解為了便于網絡管理，應繪制與當前運行情況相符的網絡拓撲結構圖。當網絡拓撲結構發生改變時，應及時更新。檢查方法檢查網絡拓撲圖，查看其與當前運行情況是否一致。20結構安全e）應根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段；條款理解根據實際情況和區域安全防護要求，應在主要網絡設備上進行VLAN劃分或子網劃分。不同VLAN內的報文在傳輸時是相互隔離的 。如果不同VLANg進行通信，則需要通過路由器或三層交換機等三層設備實現。21結構安全檢查方法訪談網絡管理員，是否依據部門的工作職能、重要性和應用系統的級別劃分了不同的 VLAN或子網。以CISCOIOS為例，輸入命令：showvlan檢查配置文件中應當存在類似如下配置項：vlan2nameinfointe0/2vlan-membershipstatic222結構安全f）應避免將重要網段部署在網絡邊界處且直接連接外部信息系統，重要網段與其他網段之間采取可靠的技術隔離手段；條款理解為了保證信息系統的安全，應避免將重要網段部署在網絡邊界處且直接連接外部信息系統，防止來自外部信息系統的攻擊。在重要網段和其它網段之間配置安全策略進行訪問控制。檢查方法檢查網絡拓撲結構，查看是否將重要網段部署在網絡邊界處，重要網段和其它網段之間是否配置安全策略進行訪問控制。23結構安全g）應按照對業務服務的重要次序來指定帶寬分配優先級別，保證在網絡發生擁堵的時候優先保護重要主機。條款理解為了保證重要業務服務的連續性，應按照對業務服務的重要次序來指定帶寬分配優先級別，從而保證在網絡發生擁堵的時候優先保護重要主機。檢查方法訪談網絡管理員，依據實際應用系統狀況，是否進行了帶寬優先級分配。24結構安全以CISCOIOS為例，檢查配置文件中是否存在類似如下配置項：policy-mapbarclassvoiceprioritypercent10classdatabandwidthpercent30classvideobandwidthpercent2025訪問控制二、訪問控制（8項）訪問控制是網絡測評檢查中的核心部分，涉及到大部分網絡設備、、安全設備。條款解讀26訪問控制a）應在網絡邊界部署訪問控制設備，啟用訪問控制功能；條款理解在網絡邊界部署訪問控制設備，防御來自其他網絡的攻擊，保護內部網絡的安全。檢查方法檢查網絡拓撲結構，查看是否在網絡邊界處部署了訪問控制設備，是否啟用了訪問控制功能。27訪問控制b）應能根據會話狀態信息為數據流提供明確的允許 /拒絕訪問的能力,控制粒度為端口級；（控制粒度為網段級）條款理解在網絡邊界部署訪問控制設備，對進出網絡的流量進行過濾，保護內部網絡的安全。配置的訪問控制列表應有明確的源 /目的地址、源/目的、協議及服務等。28訪問控制檢查方法以CISCOIOS為例，輸入命令：showipaccess-list檢查配置文件中應當存在類似如下配置項：ipaccess-listextended111denyipx.x.x.055anyloginterfaceeth0/0ipaccess-group111in29訪問控制以防火墻檢查為例，應有明確的訪問控制策略，如下圖所示：策略說明允許INTERNETS務器訪問前置專用服務器源地址目的地址端口協議策略策略設置2318080TCP允許211.138.235。66189708971TCP允許30訪問控制c）應對進出網絡的信息內容進行過濾，實現對應用層 HTTPFTP、TELNETSMTPPOP3等協議命令級的控制；條款理解對于一些常用的應用層協議，能夠在訪問控制設備上實現應用層協議命令級的控制和內容檢查，從而增強訪問控制粒度。檢查方法該測評項一般在防火墻、入侵防御系統上檢查。首先查看防火墻、入侵防御系統是否具有該功能，然后登錄設備查看是否啟用了相應的功能。31訪問控制以聯想網域防火墻為例，如下圖所示：32訪問控制d）應在會話處于非活躍一定時間或會話結束后終止網絡連接；條款理解當惡意用戶進行網絡攻擊時，有時會發起大量會話連接，建立會話后長時間保持狀態連接從而占用大量網絡資源，最終將網絡資源耗盡的情況。應在會話終止或長時間無響應的情況下終止網絡連接，釋放被占用網絡資源， 保證業務可以被正常訪問。33訪問控制檢查方法該測評項一般在防火墻上檢查。登錄防火墻，查看是否設置了會話連接超時，設置的超時時間是多少，判斷是否合理。34訪問控制以天融信防火墻為例，如下圖所示：35訪問控制e）應限制網絡最大流量數及網絡連接數；條款理解可根據IP地址、端口、協議來限制應用數據流的最大流量，還可以根據IP地址來限制網絡連接數，從而保證業務帶寬不被占用，業務系統可以對外正常提供業務。檢查方法該測評項一般在防火墻上檢查。 訪談系統管理員，依據實際網絡狀況是否需要限制網絡最大流量數及網絡連接數。登錄設備查看是否設置了最大流量數和連接數，并做好記錄。36訪問控制以天融信防火墻為例，如下圖所示：37訪問控制f）重要網段應采取技術手段防止地址欺騙；條款理解地址欺騙在網絡安全中比較重要的一個問題 ，這里的地址，可以是MACM址，也可以是IP地址。在關鍵設備上，采用IP/MAC地址綁定方式防止地址欺騙。檢查方法以CISCOIOS為例，輸入showiparp檢查配置文件中應當存在類似如下配置項：arp0000.e268.9980arpa38訪問控制以聯想網域防火墻為例，如下圖所示：39訪問控制g）應按用戶和系統之間的允許訪問規則，決定允許或拒絕用戶對受控系統進行資源訪問，控制粒度為單個用戶；條款理解對于遠程撥號用戶，應在相關設備上提供用戶認證功能。通過配置用戶、用戶組，并結合訪問控制規則可以實現對認證成功的用戶允許訪問受控資源。檢查方法登錄相關設備查看是否對撥號用戶進行身份認證，是否配置訪問控制規則對認證成功的用戶允許訪問受控資源。40訪問控制h）應限制具有撥號訪問權限的用戶數量。條款理解應限制通過遠程采用撥號方式或通過其他方式連入系統內部的用戶數量。檢查方法詢問系統管理員，是否有遠程撥號用戶，采用什么方式接入系統部，采用何種方式進行身份認證， 具體用戶數量有多少。41安全審計三、安全審計 （4項）安全審計要對相關事件進行日志記錄，還要求對形成的記錄能夠分析、形成報表。條款解讀42安全審計a）應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；條款理解為了對網絡設備的運行狀況、網絡流量、管理記錄等進行檢測和記錄，需要啟用系統日志功能。系統日志信息通常輸出至各種管理端口、內部緩存或者日志服務器。檢查方法檢查測評對象，查看是否啟用了日志記錄，日志記錄是本地保存，還是轉發到日志服務器。 記錄日志服務器的地址。43安全審計以聯想網域防火墻為例，如下圖所示：44安全審計b）審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；條款理解日志審計內容需要記錄時間、類型、用戶、事件類型、事件是否成功等相關信息。檢查方法登錄測評對象或日志服務器， 查看日志記錄是否包含了事件的日期和時間、用戶、事件類型、事件是否成功等信息 。45安全審計c）應能夠根據記錄數據進行分析，并生成審計報表；條款理解為了便于管理員對能夠及時準確地了解網絡設備運行狀況和發現網絡入侵行為，需要對審計記錄數據進行分析和生成報表。檢查方法訪談并查看網絡管理員采用了什么手段實現了審計記錄數據的分析和報表生成。46安全審計d）應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。條款理解審計記錄能夠幫助管理人員及時發現系統運行狀況和網絡攻擊行為，因此需要對審計記錄實施技術上和管理上的保護，防止未授權修改、刪除和破壞。檢查方法訪談網絡設備管理員采用了何種手段避免了審計日志的未授權修改、刪除和破壞。如可以設置專門的日志服務器來接收路由器等網絡設備發送出的報警信息。47安全審計以聯想網域防火墻為例，如下圖所示：48邊界完整性檢查四、邊界完整性檢查 （2項）邊界完整性檢查主要檢查在全網中對網絡的連接狀態進行監控， 發現非法接入、非法外聯時能夠準確定位并能及時報警和阻斷。條款解讀49邊界完整性檢查a）應能夠對非授權設備私自聯到內部網絡的行為進行檢查，準確定出位置,并對其進行有效阻斷；條款理解可以采用技術手段和管理措施對“非法接入”行為進行檢查。技術手段包括網絡接入控制、IP/MAC地址綁定。檢查方法訪談網絡管理員， 詢問采用何種技術手段或管理措施對“非法接入”進行檢查，對于技術手段，在網絡管理員配合下驗證其有效性。50ARP方式:邊界完整性檢查以聯想網域防火墻為例，如下圖所示：51邊界完整性檢查以聯想網域防火墻為例，如下圖所示：52邊界完整性檢查b）應能夠對內部網絡用戶私自聯到外部網絡的行為進行檢查，準確定出位置，并對其進行有效阻斷。 （應能夠對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查）條款理解可以采用技術手段和管理措施對“非法外聯”行為進行檢查。技術手段可以采取部署桌面管理系統或其他技術措施控制。檢查方法訪問網絡管理員， 詢問采用了何種技術手段或管理措施對“非法外聯”行為進行檢查，對于技術手段，在網絡管理員配合下驗證其有效性。53邊界完整性檢查以聯想網域防火墻為例，如下圖所示：54入侵防范五、入侵防范 （2項）對入侵事件不僅能夠檢測，并能發出報警，對于入侵防御系統要求定期更新特征庫 ，發現入侵后能夠報警并阻斷。條款解讀55入侵防范a）應在網絡邊界處監視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊、 IP碎片攻擊和網絡蠕蟲攻擊等；條款理解要維護系統安全，必須在網絡邊界處對常見的網絡攻擊行為進行監視，以便及時發現攻擊行為。檢查方法檢查網絡拓撲結構，查看在網絡邊界處是否部署了包含入侵防范功能的設備。登錄相應設備，查看是否啟用了檢測功能。56入侵防范以聯想網域防火墻為例，如下圖所示：57入侵防范b）當檢測到攻擊行為時，記錄攻擊源 IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警。條款理解當檢測到攻擊行為時，應對攻擊信息進行日志記錄。在發生嚴重入侵事件時應能通過短信、郵件等向有關人員報警。檢查方法查看在網絡邊界處是否部署了包含入侵防范功能的設備。如果部署了相應設備，則檢查設備的日志記錄是否完備，是否提供了報警功能。58惡意代碼防范六、惡意代碼防范 （2項）惡意代碼防范是綜合性的多層次的，在網絡邊界處需要對惡意代碼進行防范。條款解讀59惡意代碼防范a）應在網絡邊界處對惡意代碼進行檢測和清除；條款理解計算機病毒、木馬和蠕蟲的泛濫使得防范惡意代碼的破壞顯得尤為重要。在網絡邊界處部署防惡意代碼產品進行惡意代碼防范是最為直接和高效的辦法。檢查方法檢查網絡拓撲結構， 查看在網絡邊界處是否部署了防惡意代碼產品。如果部署了相關產品，則查看是否啟用了惡意代碼檢測及阻斷功能， 并查看日志記錄中是否有相關阻斷信息。60惡意代碼防范以聯想網域防火墻為例，如下圖所示：61惡意代碼防范b）應維護惡意代碼庫的升級和檢測系統的更新。條款理解惡意代碼具有特征變化快，特征變化快的特點。因此對于惡意代碼檢測重要的特征庫更新，以及監測系統自身的更新，都非常重要。檢查方法訪談網絡管理員， 詢問是否對防惡意代碼產品的特征庫進行升級及具體是升級方式。登錄相應的防惡意代碼產品，查看其特征庫、系統軟件升級情況，查看當前是否為最新版本。62網絡設備防護七、網絡設備防護 （8項）網絡設備的防護主要是對用戶登錄前后的行為進行控制，，對網絡設備的權限進行管理。條款解讀63網絡設備防護a）應對登錄網絡設備的用戶進行身份鑒別；條款理解對于網絡設備，可以采用CONAUXVTY等方式登錄。對于安全設備，可以采用WEBGUI、命令行等方式登錄。檢查方法檢查測評對象采用何種方式進行登錄，是否對登錄用戶的身份進行鑒別，是否修改了默認的用戶名及密碼。64網絡設備防護以CISCOIOS為例， 檢查配置文件中應當存在類似如下配置項:linevty04loginpasswordxxxxxxxlineaux0loginpasswordxxxxxxxlinecon0loginpasswordxxxxxxx65網絡設備防護b）應對網絡設備的管理員登錄地址進行限制；條款理解為了保證安全，需要對訪問網絡設備的登錄地址進行限制，避免未授權的訪問。檢查方法以CISCOIOS為例，輸入命令：showrunning-configaccess-list3permitx.x.x.xlogaccess-list3denyanylinevty04access-class3in66網絡設備防護以聯想網域防火墻為例，如下圖所示：67網絡設備防護c）網絡設備用戶的標識應唯一；條款理解不允許在網絡設備上配置用戶名相同的用戶，要防止多人共用一個帳戶，實行分帳戶管理，每名管理員設置一個單獨的帳戶,避免出現問題后不能及時進行追查。檢查方法登錄網絡設備， 查看設置的用戶是否有相同用戶名 。詢問網絡管理員，是否為每個管理員設置了單獨的賬戶。68網絡設備防護d）主要網絡設備應對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；條款理解采用雙因子鑒別是防止身份欺騙的有效方法，雙因子鑒別不僅要求訪問者知道一些鑒別信息，還需要訪問者擁有鑒別特征，例如采用令牌、智能卡等。檢查方法訪談網絡設備管理員，詢問采用了何種鑒別技術實現了雙因子鑒別，并在管理員的配合下驗證雙因子鑒別的有效性。69網絡設備防護以聯想網域防火墻為例，如下圖所示：70網絡設備防護e）身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換；條款理解為避免身份鑒別信息被冒用，可以通過采用令牌、認證服務器等措施，加強身份鑒別信息的保護。如果僅僅基于口令的身份鑒別，應當保證口令復雜度和定期更改的要求。檢查方法詢問網絡管理員對身份鑒別所采取的具體措施，使用口令的組成、長度和更改周期等。71網絡設備防護以聯想網域防火墻為例，如下圖所示：72網絡設備防護f）應具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施；條款理解應對登錄失敗進行處理，避免系統遭受惡意的攻擊。檢查方法以CISCOIOS為例，輸入命令：showrunning-config檢查配置文件中應當存在類似如下配置項：linevty04exec-timeout5073網絡設備防護以聯想網域防火墻為例，如下圖所示：74網絡設備防護g）當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽；條款理解對網絡設備進行管理時，應采用 SSH4HTTP游加密協議，防止鑒別信息被竊聽。檢查方法以CISCOIOS為例，輸入命令：showrunning-config檢查配置文件中應當存在類似如下配置項：linevty04transportinputssh75網絡設備防護h）應實現設備特權用戶的權限分離。條款理解應根據實際需要為用戶分配完成其任務的最小權限。檢查方法登錄設備，查看有多少管理員賬戶， 每個管理員賬戶是否僅分配完成其任務的最小權限。一般應該有三類賬戶：普通賬戶，審計賬戶、配置更改賬戶。76網絡設備防護以聯想網域防火墻為例，如下圖所示：77內容目錄.刖日.檢查范圍.檢查內容.現場測評步驟78現場測評步驟現場網絡測評步驟：1、網絡全局性測評2、網絡設備、安全設備測評3、測評結果匯總整理79現場測評步驟1、網絡全局性測評結構安全邊界完整性檢查入侵防范惡意代碼防范80現場測評步驟?、網絡設備、安全設備測評訪問控制安全審計網絡設備防護備份與恢復81現場測評步驟a）應提供本地數據備份與恢復功能，完全數據備份至少每天一次，備份介質場外存放；條款理解應制定完備的設備配置數據備份與恢復策略，定期對設備策略進行備份，并且備份介質要場外存放。應能對路由器配置進行維護，可以方便地進行諸如查看保存配置和運行配置、上傳和下載系統配置文件（即 一次性導入和導出系統所有配置）等維護操作，還可以恢復出廠默認配置，以方便用戶重新配置設備。82現場測評步驟檢查方法現場訪談并查看用戶采用何種方式對設備配置文件進行備份及具體的備份策略。輸入命令：showrunning-config如果采用FTP服務器保存配置文件，則檢查配置文件中應當存在類似如下配置項：ipftpusernamelogin_nameipftppasswordlogin_password83現場測評步驟b）應提供異地數據備份功能，利用通信網絡將關鍵數據定時批量傳送至備用場地；條款理解此處提出的數據是指路由器策略配置文件，可以通過采用數據同步方式，將路由器的策略文件備份到異地的服務器上。檢查方法現場訪談并查看用戶是否采用了異地同步服務器等方式， 進行異地數據備份。84現場測評步驟c）應采用冗余技術設計網絡拓撲結構，避免關鍵節點存在單點故障；條款理解為了避免網絡設備或線路出現故障時引起數據通信中斷，應為關鍵設備提供雙機熱備功能，以確保在通信線路或設備故障時提供備用方案，有效增強網絡的可靠性。檢查方法查看是否采用冗余技術設計網絡拓撲結構， 避免關鍵節點存在單點故障。85現場測評步驟d）應提供主要網絡設備、通信線路和數據處理系統的硬件冗余，保證系統的高可用性。條款理解為了避免網絡設備或線路出現故障時引起數據通信中斷，應為關鍵設備提供雙機熱備功能，以確保在通信線路或設備故障時提供備用方案，有效增強網絡的可靠性。檢查方法查看是否采用冗余技術設計，具體采用的備份設備、備份線路、備份方式等。86現場測評步驟，測評結果匯總整理對全局性檢查結果和各單項檢查結果進行匯總。核對檢查結果 ，記錄內容真實有效，勿有遺漏。87信息安全等級測評師培訓謝謝！88有人問我，愛情是什么？我不知道，也無從回答，我只知道，為了遇到那個人，我等待了很多年，甚至快要忘了自己到底尋找的是什么？是心靈的寄托還是真實的感受，我不知道，也不在乎，我執著于這份尋覓，我也不怕世事滄桑，更不怕容顏老去，哪怕還有一絲微弱的光，我都會朝著光芒勇敢的追逐。愛情的世界里，究竟是什么樣子？我曾經問了自己無數遍，我想象著，卻給不出任何答案。我只知道： 我要遇見你，我渴望見到你 我要把全部的愛給予你！我為什么如此渴望愛情？因為我相信我們的愛情早已命中注定。都說，住在愛情世界里的人會變傻，她的歡喜和憂愁都會牽動著你的心，她哭了，你會心疼不已；她高興，你會開心一整天。你會無時無刻的關注她的喜怒哀樂，第一時間回復她的消息，只要有時間 ，你的腦海里都是她的影子，為了讓她開心快樂，做什么都是值得的。從此，你的世界里最重要的人就變成了她。有時候，你們也會吵架，可你從來不生氣，因為你愛她，換作別人你會置之不理，而她的一句玩笑話你都會深思半天，到底是自己哪里做的不夠好。因為你怕她生氣，怕她傷身，怕她不夠幸福，你只想把全世界的愛都給她，這樣的吵架讓你更心疼、更深愛她。而他也和你一樣，小心翼翼的呵護你們的愛情，都愿意為對方付出，都愿意對方是那個被愛多一點的人。愛情的世界里，沒有對與錯，只有愛與被愛，兩個人都想多愛對方一點點，都想做那個愛的最深的人，她會把你放在心底，讓你聆聽她想你時的心跳，讓你